Název a anotaci ideálně do konce týdne. Což určí směr, ale samozřejmě se s tím dá hýbat.Ivan Bartos píše:Je to az v unoru. Nebo chteji materialy ted?
CyberSecurity konference - nutné obsadit
Moderátoři: Rada resortních týmů - členové, Resortni tym PrumyslObchod
-
Ondrej.Profant
- Technický odbor
- Příspěvky: 7963
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 15008 poděkování
- Dostal poděkování: 8368 poděkování
- Kontaktovat uživatele:
Re: CyberSecurity konference - nutné obsadit
profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika
-
Ondrej.Profant
- Technický odbor
- Příspěvky: 7963
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 15008 poděkování
- Dostal poděkování: 8368 poděkování
- Kontaktovat uživatele:
Re: CyberSecurity konference - nutné obsadit
Nakonec jsem zvolil přednášku:
Otevřená bezpečnost
Anotace: Využití otevřeného přístupu v bezpečnosti, aneb outsourcujte bezpečnost na celý svět.
Délka: 20 minut (+diskuse)
Je to již příští týden (4. února). ČIli pokud máte připomínky (co nemám zapomenout a tak), tak pište.
Otevřená bezpečnost
Anotace: Využití otevřeného přístupu v bezpečnosti, aneb outsourcujte bezpečnost na celý svět.
Délka: 20 minut (+diskuse)
Je to již příští týden (4. února). ČIli pokud máte připomínky (co nemám zapomenout a tak), tak pište.
profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika
-
Ondrej.Profant
- Technický odbor
- Příspěvky: 7963
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 15008 poděkování
- Dostal poděkování: 8368 poděkování
- Kontaktovat uživatele:
Re: CyberSecurity konference - nutné obsadit
Nakonec jsem zvolil přednášku:
Otevřená bezpečnost
Anotace: Využití otevřeného přístupu v bezpečnosti, aneb outsourcujte bezpečnost na celý svět.
Délka: 20 minut (+diskuse)
Je to již příští týden (4. února). ČIli pokud máte připomínky (co nemám zapomenout a tak), tak pište.
Otevřená bezpečnost
Anotace: Využití otevřeného přístupu v bezpečnosti, aneb outsourcujte bezpečnost na celý svět.
Délka: 20 minut (+diskuse)
Je to již příští týden (4. února). ČIli pokud máte připomínky (co nemám zapomenout a tak), tak pište.
- Tito uživatelé poděkovali autorovi Ondrej.Profant za příspěvky (celkem 3):
- Filip.Krska, Ivo.Vasicek, Michal.Ketner
profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika
-
mkv
- Návštěvník – nepatří k Pirátům
Re: CyberSecurity konference - nutné obsadit
[quote="Ondrej Profant"]Tak hned mám první problém. Myslel jsem, že mám hovořit přímo o připomínkách k zákonu, ale téma může být mnohem obecnější a toto je jen jedno z podtémat. Což je skvělá zpráva. Nicméně je potřeba vymyslet osnovu, tak aby to bylo důstojné odborně a zároveň jsme si mohli rýpnout do antipirátů (drm etc.).
Napadá mě:
- otevřená bezpečnost: důležitost OSS a veřejné kritiky
- něco se šmírováním (NSA ...)
- kryptoměny
- nebezpečí DRM
1) k té otevřené bezpečnosti by bylo vhodné, zdůraznit význam svobodného výzkumu v oblasti bezpečnosti
- dokonce ani USA si netroufne zakázat nebo omezit tento druh výzkumu prováděný nezávislými odborníky, DOD a FBI pravidelně objíždějí hackerské konference
a) zdůraznit, že je nesmysl vázat bezpečnostní výzkum na veřejnoprávní instituce
- uvést jaký přínos má širší základna byť ne vždy čistě profesionálních výzkumníků (CVE zranitelnosti, POC exploity a plně funkčních 0-day exploitů pochází od širší komunity v mnoha případech i od nadšenců)
b) uvést důvody proč je logování jako bezpečnostní opatření k ničemu:
- MAC adresu si i pod windowsem změní každý, přičemž MAC cloning je občas nezbytný vzhledem ke specifickým omezením našich ISP
- zbytečně zatěžuje systémy ISP, kteří v důsledku toho tyto náklady přenášejí na spotřebitele včetně státu (data z databáze operátora nejsou zdarma, což z povinnosti činí lukrativní obchod)
c) logování v rámci data retention směrnice v současné době významným způsobem usnadňuje špionáž na našem území
- pochopitelně je otázkou času kdy i organizovaný zločin nalezne způsob jak tato data zneužít
2) stát který nekontroluje svůj kyberprostor a umožní obdobný druh špionáže (PRISM, TEMPORA etc.) svého území a svých občanů včetně vlády a zákonodárců cizí mocností není suverénním státem protože:
- informace získané těmito programy mohou být následně využity k přímému vydírání vlády a zákonodárců,
- trojské koně může NSA i GCHQ použít k diskreditaci a likvidaci politických oponentů včetně nepohodlných novinářů
- tytéž prostředky lze také využít k hospodářské a technologické špionáži
- tyto programy likvidují jakékoliv soukromí a jsou způsobilé zásadním způsobem ohrozit základní lidská práva
Proto by tento druh špionáže měl být považován za válečný akt, velmi zajímavé v tomto kontextu je, že USA přesně tento druh špionáže za válečný akt považují a vyhrazují si právo preventivního úderu smrtící silou i mimo své území.
3) k DRM lze podotknout, že již dnes aplikované metody citelně narušují soukromí uživatelů příkladem mohou být PUNKBUSTER a BATTLEEYE tyto programy sice slouží k prevenci cheatování v online hrách nicméně účelu je dosaženo drastickým zásahem do soukromí hráče, protože tyto programy scanují aktivní procesy v RAM
- čili pokud jste při hraní náhodou zapomněli otevřený browser na svém mailu v liště admin BATTLEYE si Vaše maily snadno přečte
- podobně lze napadnou obchodní podmínky Microsoftu, který si mimo jiné vyhrazuje právo kopírovat podezřelé soubory z Vašeho PC na server Microsoftu, přičemž nedefinují co to je podezřelý soubor, ani jak je se souborem naloženo pokud jde např. o fotografii z dovolené s divným názvem, také by bylo možné vypíchnout "zákrok" Microsoftu za účelem ochrany uživatelů od TOR botnetu, kdy Microsoft smazal TOR bundle uživatelům u nichž měl podezření, že byl tento software botnetem zasažen ...
Případné spolupráci pře mail nebo IRC se nebráním
(vyjma spolupráce s NSA, FBI, a jinými šmíráky těm nakašlu ))
Napadá mě:
- otevřená bezpečnost: důležitost OSS a veřejné kritiky
- něco se šmírováním (NSA ...)
- kryptoměny
- nebezpečí DRM
1) k té otevřené bezpečnosti by bylo vhodné, zdůraznit význam svobodného výzkumu v oblasti bezpečnosti
- dokonce ani USA si netroufne zakázat nebo omezit tento druh výzkumu prováděný nezávislými odborníky, DOD a FBI pravidelně objíždějí hackerské konference
a) zdůraznit, že je nesmysl vázat bezpečnostní výzkum na veřejnoprávní instituce
- uvést jaký přínos má širší základna byť ne vždy čistě profesionálních výzkumníků (CVE zranitelnosti, POC exploity a plně funkčních 0-day exploitů pochází od širší komunity v mnoha případech i od nadšenců)
b) uvést důvody proč je logování jako bezpečnostní opatření k ničemu:
- MAC adresu si i pod windowsem změní každý, přičemž MAC cloning je občas nezbytný vzhledem ke specifickým omezením našich ISP
- zbytečně zatěžuje systémy ISP, kteří v důsledku toho tyto náklady přenášejí na spotřebitele včetně státu (data z databáze operátora nejsou zdarma, což z povinnosti činí lukrativní obchod)
c) logování v rámci data retention směrnice v současné době významným způsobem usnadňuje špionáž na našem území
- pochopitelně je otázkou času kdy i organizovaný zločin nalezne způsob jak tato data zneužít
2) stát který nekontroluje svůj kyberprostor a umožní obdobný druh špionáže (PRISM, TEMPORA etc.) svého území a svých občanů včetně vlády a zákonodárců cizí mocností není suverénním státem protože:
- informace získané těmito programy mohou být následně využity k přímému vydírání vlády a zákonodárců,
- trojské koně může NSA i GCHQ použít k diskreditaci a likvidaci politických oponentů včetně nepohodlných novinářů
- tytéž prostředky lze také využít k hospodářské a technologické špionáži
- tyto programy likvidují jakékoliv soukromí a jsou způsobilé zásadním způsobem ohrozit základní lidská práva
Proto by tento druh špionáže měl být považován za válečný akt, velmi zajímavé v tomto kontextu je, že USA přesně tento druh špionáže za válečný akt považují a vyhrazují si právo preventivního úderu smrtící silou i mimo své území.
3) k DRM lze podotknout, že již dnes aplikované metody citelně narušují soukromí uživatelů příkladem mohou být PUNKBUSTER a BATTLEEYE tyto programy sice slouží k prevenci cheatování v online hrách nicméně účelu je dosaženo drastickým zásahem do soukromí hráče, protože tyto programy scanují aktivní procesy v RAM
- čili pokud jste při hraní náhodou zapomněli otevřený browser na svém mailu v liště admin BATTLEYE si Vaše maily snadno přečte
- podobně lze napadnou obchodní podmínky Microsoftu, který si mimo jiné vyhrazuje právo kopírovat podezřelé soubory z Vašeho PC na server Microsoftu, přičemž nedefinují co to je podezřelý soubor, ani jak je se souborem naloženo pokud jde např. o fotografii z dovolené s divným názvem, také by bylo možné vypíchnout "zákrok" Microsoftu za účelem ochrany uživatelů od TOR botnetu, kdy Microsoft smazal TOR bundle uživatelům u nichž měl podezření, že byl tento software botnetem zasažen ...
Případné spolupráci pře mail nebo IRC se nebráním
(vyjma spolupráce s NSA, FBI, a jinými šmíráky těm nakašlu ))-
Ondrej.Profant
- Technický odbor
- Příspěvky: 7963
- Registrován: 22 dub 2009, 23:55
- Profese: Náměstek člena vlády
- Bydliště: Praha 8
- Dal poděkování: 15008 poděkování
- Dostal poděkování: 8368 poděkování
- Kontaktovat uživatele:
Re: CyberSecurity konference - nutné obsadit
Děkuji moc. Přesně tak nějak jsem to myslel.
Ještě bych poprosil - co by mi nejvíce pomohlo: zdroje. Čili zajímavé/extrémní/úspěšné příklady, které jsou seriozně dokumentované.
Ještě bych poprosil - co by mi nejvíce pomohlo: zdroje. Čili zajímavé/extrémní/úspěšné příklady, které jsou seriozně dokumentované.
profant.eu
náměstek vicepremiéra pro digitalizaci
vedoucí resortních týmů Informatika
-
mkv
- Návštěvník – nepatří k Pirátům
Re: CyberSecurity konference - nutné obsadit
Tak k tomu bodu 1 nabízí se Steven Jobs, ačkoliv nikdy nedostudoval MIT nelze o něm tvrdit, že by nebyl nadšenec nebo, že by IT nerozuměl, co se hackerů týče napadá mě Kevin Mitnick, Adrian Lamo, Jonathan James nebo něco víc na východ Dmitri Galuchkevich. Co se týče méně známých příkladů stačí projít Blackhat konference skoro vždy je tam i nějaký nadšenec s něčím zajímavým např. Nikita Tarakanov a Oleg Kupreev ... naposledy upozornili na zranitelnosti CDMA modemů HUAWEI během konference Blackhat Europe 2013, mimochodem tyto modemy v základním nastavení stále dodávají všichni naši ISP, ale že by třeba náš CSIRT nebo CERT něco zveřejnil... Dobrý příklad jsou i DEFCON konference, které mimo jiné navštěvuje i FBI za účelem rekrutování hackerů např. Michael Hayden šéf NSA a CIA na DEFCONU 2010 ... je teda pravda, že i vláda se občas spálí např. Max Butler (Iceman).
Zatím jsem neslyšel, že by v Čechách byla nějaká důležitější akce obdobného typu jako PWN2OWN, nebo konference otevřená širší veřejnosti, kde by mohli vystoupit i lidé z našich hackerspaců... mimochodem bez České verze PWN2OWN se moc daleko v kybernetické bezpečnosti nepohneme. Co se týče fór o kybernetické bezpečnosti, tak jich v Čechách moc není máme sice soom.cz, root.cz a airdump.cz nicméně ty ale stále pokulhávají za např. corelan.be.
Zatím jsem neslyšel, že by v Čechách byla nějaká důležitější akce obdobného typu jako PWN2OWN, nebo konference otevřená širší veřejnosti, kde by mohli vystoupit i lidé z našich hackerspaců... mimochodem bez České verze PWN2OWN se moc daleko v kybernetické bezpečnosti nepohneme. Co se týče fór o kybernetické bezpečnosti, tak jich v Čechách moc není máme sice soom.cz, root.cz a airdump.cz nicméně ty ale stále pokulhávají za např. corelan.be.
-
mkv
- Návštěvník – nepatří k Pirátům
Re: CyberSecurity konference - nutné obsadit
Mimochodem nedá mi to a rejpnu si je sice hezké, že máme tu novou super úžasnou kyberpolicii a ty nové úžasné CSIRTy a CERTy jenže k čemu nám jsou když jediné co je zajímá je potencionální DDOS, porušení autorského práva apod. kraviny, když se na uložto dá stáhnou mimo jiné třeba Blackhole 2 exploit kit, jasně zastaralá s tím, že Paunche zavřeli... no a kauza dneška hesperbot??? Takže teď ten rýpanec proč u nás musel proti tor-botnetům zasahovat Microsoft? WTF outrageus incompetence!